(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111668530.X (22)申请日 2021.12.31 (71)申请人 北京久安世纪科技有限公司 地址 100089 北京市海淀区北洼路3 0号1号 楼二层107室 (72)发明人 王小涛　王颜康　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 代理人 尹新路 (51)Int.Cl. G06K 9/62(2022.01) H04L 9/40(2022.01) (54)发明名称 一种基于堡垒机对用户画像进行预警的方 法 (57)摘要 本发明涉及数据安全与处理技术领域， 公开 了一种基于堡垒机对用户画 像进行预警的方法， 包括： 获取堡垒机的会话日志， 根据堡垒机的会 话日志获取用户的信息并分类为六元组模型； 建 立零信任架构 模型和威胁库， 根据机器学习算法 和零信任架构模型对各个使用用户的信息以六 元组模型进行分类后进行异常检测， 识别出异常 用户； 当判断到出现异常用户时， 堡垒机对异常 用户进行预警并对异常用户进行二次验证， 二次 验证无误后， 将异常用户的危险操作存入威胁 库， 并在安全评分模块对异常用户进行安全评分 映射。 本发 明用于通过堡垒机对用户进行自动化 安全预警， 对用户登录 之后所涉及的各种行为进 行预测并找到其中的安全隐患， 及时的对安全审 计人员进行 预警。 权利要求书3页 说明书10页 附图2页 CN 114398966 A 2022.04.26 CN 114398966 A 1.一种基于堡 垒机对用户画像进行 预警的方法， 其特 征在于， 包括以下步骤： 步骤S1.获取堡垒机的会话日志， 根据堡垒机的会话日志获取用户的信息并将用户的 信息分类为六 元组模型； 步骤S2.建立零信任架构模型和威胁库， 根据机器学习算法和零信任架构模型对各个 使用用户的信息以六元组模型进行分类后进行异常检测， 识别出异常用户； 各个使用用户 包括单个用户和群组用户； 步骤S3.当判断到出现异常用户时， 堡垒机对异常用户进行预警并对异常用户进行二 次验证， 二次验证无误后， 将异常用户的危险操作存入威胁库， 作为下一次判断异常用户的 基础； 并在安全评分模块对异常用户进行安全评分映射。 2.根据权利要求1所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在于， 所 述步骤S1包括： 根据通用的接口获取堡垒机的会话日志， 根据堡垒机的会话日志获取用户的信 息并将 用户的信息分类为六 元组模型； 所述六元组模型中用户的信息被分类为时间信息、 地点信息、 人/ID信息、 作用域信息、 动作信息和结果信息； 在六元组模型中的不同元组之间对用户进行组合分析。 3.根据权利要求1所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在于， 所 述步骤S2中对单个用户和群组用户的分析 方法包括： 对单个用户和群组用户的行为从多个维度在时间序列和地点域进行分析， 根据分析的 单个用户行为和群组用户行为刻画和关联分析的数据， 建立群组基线和个 体基线； 根据平均值、 方差和相似度对个 体行为和群组行为对比， 识别出异常行为。 4.根据权利要求1所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在于， 所 述步骤S2还 包括： 根据机器学习算法进行 数据分类处 理； 对于初次使用的用户， 在堡垒机中设置初始评判标准， 所述初始评判标准包括登录的 异常情况以及用户访问和操作超出用户权限的情况， 将使用用户的信息根据六元组模型分 类后， 根据初始评判标准对初次使用的用户的信息进行评判， 并将不符合评判 标准的用户 认定为低安全系数的用户； 对于至少使用一个月时长的用户， 根据堡垒机的会话日志信息、 六元组模型和机器学 习算法对用户进行异常检测， 将六元 组模型中用户的各类信息特征设为X， 所述机器学习算 法包括SVM算法、 孤立森林算法和聚类算法。 5.根据权利要求4所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在于， 使 用SVM算法的方法包括： 对于用户的时间信息和地点信息， 使用One ‑Class SVM算法预先分析用户的时间信息 和地点信息， X为用户特征的一个n维数组， 设定一个正常行为的用户特征x1, …,xn， 有X到 中心o的距离小于r， 通过 给定的用户的时间信息和地 点信息求满足此 条件的最小球 体； 根据 和||xi‑o||≤r+ξi判断用户是否异常， 其中， V表示半径为r的球权　利　要　求　书 1/3 页 2 CN 114398966 A 2体的体积， ξ为优化问题引入的松弛变量， C为惩罚参数； 通过给定的C和正常行为的用户特 征x1,…,xn得到r和中心o， 通过判断是否在此球体中从而判断是否为异常点， 如果是异常 点， 判断对于给定的用户的时间信息和地 点信息异常。 6.根据权利要求4所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在于， 使 用孤立森林算法的方法包括： 步骤a.对于用户的时间信息和地 点信息之间的组合， 使用孤立森林算法进行分析； 步骤b.从用户的特 征数据中随机 选择Ψ个点样本点作为样本 子集， 放入树的根节点； 步骤c.随机指定一个维度， 例如指定维度为用户登陆时间时， 在当前节点数据中随机 产生一个切割时间点p， 所述切割点产生于当前节点数据中时间最 早和最晚之间； 步骤d.以所述切割点生成了一个界限， 然后将当前节点根据登录时间划分为2个部分， 把登录时间早于p点的数据放在当前节点的左子节点， 把大于等于p的数据放在当前节点的 右子节点； 步骤e.在子节点中递归步骤c和步骤d， 不断构造新的子节点， 直到子节点中只有一个 数据无法再继续切割或子节点已到 达限定高度； 步骤f.循环步骤b至步骤e， 直至生成t个孤立 树iTree； 步骤g.根据 上述所得的数据， 可以对每个数据点X令其遍历每个孤立树， 得到其在森林 中的平均高度h(x)， 从而计算得到数据的异常 分数如下公式所示： 其中， H(i)是调和数， 可以通过ln(i)和欧拉常数估算， x是数据点X的具体坐标， c是计 算给定样本的路径长度的平均值， E(h(x) )是h(x)的平均值； 步骤h.根据获得的异常 分数判断用户是否异常。 7.根据权利要求4所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在于， 使 用聚类算法的方法包括： 对于用户动作信 息中的指令操作 数据和用户作用域信 息中的访问服务数据， 使用聚类 算法中的K ‑means算法进行一次分析； 再使用聚类算法中的DBSCAN聚类算法， 通过对六元组模型中用户的各类信息进行离群 点计算进行二次分析； 在使用K‑means算法和DBSCAN聚类算法过程中， 引用word2vec算法， 将用户指令操作的 语义映射到多维向量空间进行简化分析； 对于六元组模型中的不 同元组之间对组合时， 在使用K ‑means算法和DBSCAN聚类算法 进行一次分析和二次分析的过程中， 引用word2vec算法结合神经网络算法对不同元组之间 用户进行组合分析。 8.根据根据权利要求1所述的一种基于堡垒机对用户画像进行预警的方法， 其特征在 于， 所述步骤S3中的安全评分模块包括：权　利　要　求　书 2/3 页 3 CN 114398966 A 3